本发明涉及网络安全领域的一种网络安全事件智能告警方法。
背景技术:
当前网络安全监控平台的安全告警规则中存在以下问题,比如安全告警规则中触发告警的阀值都是静态设置的,没有在复杂的网络环境中细化更合理的阀值动态设置,存在准确性不高的缺点,人工调整阈值参数工作量大,依赖人工经验,对于网络安全事件响应的智能化程度不够,无法适应日益严峻的网络安全形势。
技术实现要素:
本发明的目的是为了克服现有技术的不足,提供一种网络安全事件智能告警方法,其可以根据网络安全历史数据,通过遵从分位数回归的长短期记忆网络的机器学习,实现告警阈值的全自动设置。
实现上述目的的一种技术方案是:一种网络安全事件智能告警方法,包括下列步骤:
超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数
训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数
智能告警区间计算步骤:基于网络安全在线数据,通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间;
区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。
进一步的,所述网络安全事件智能告警方法还包括告警分类步骤。
进一步的,超参数优化步骤中,令f(xi,θ)为遵从分位数回归的长短期记忆网络模型的分位数回归函数,令ρu为遵从分位数回归的长短期记忆网络模型的损失函数;令ρu的下分位数ulo=u/2,令ρu的上分位数uhi=1-u/2;其中u∈(0,1)为显著性水平,则:
再进一步的,训练固化步骤中,首先将从历史安全数据库中读取的网络安全历史数据的n个样本
基于训练集γ1,训练上位数的回归模型
基于校正集γ2,即i∈γ2,计算遵从分位数回归的长短期记忆网络模型的目标函数e,即
计算总体分位数q1-u,公式为:q1-u(e,γ2)=(1-u)(1+1/|γ2|);
输出预测区间c(x),公式为:
采用了本发明的一种网络安全事件智能告警方法的技术方案,包括下列步骤:超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数
附图说明
图1为本发明的一种网络安全事件智能告警方法的示意图。
具体实施方式
请参阅图1,本发明的发明人为了能更好地对本发明的技术方案进行理解,下面通过具体地实施例,并结合附图进行详细地说明:
请参阅图1,本发明为了提高网络安全监控平台阈值设置的准确度和智能性,基于遵从分位数回归(conformalizedquantileregressioncor)的长短期记忆网络(longshort-termmemorylstm)模型,提出了本发明的一种网络安全事件智能告警方法。
本发明的一种网络安全事件智能告警方法,包括下列步骤:
离线步骤:
超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数进行超参数优化。
从历史安全数据库中读取网络安全历史数据的n个样本
其中
训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数,训练并固化遵从分位数回归的长短期记忆网络模型。
首先将从历史安全数据库中读取的网络安全历史数据的n个样本
基于训练集γ1,训练上位数的回归模型
基于校正集γ2,即i∈γ2,计算遵从分位数回归的长短期记忆网络模型的目标函数e,即
计算总体分位数q1-u,公式为:q1-u(e,γ2)=(1-u)(1+1/|γ2|);
输出预测区间c(x),公式为:
在线计算步骤:
动态阈值计算步骤:基于网络安全在线数据,通过基于遵从分位数回归的长短期记忆网络模型计算网络安全数据的智能告警区间。
区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。
告警分类步骤:根据网络安全在线数据与智能告警区间之间的对应关系,对告警事件进行分级分类,产生网络安全事件智能告警。
本发明的一种网络安全事件智能告警方法,其可以根据网络安全历史数据,通过遵从分位数回归的长短期记忆网络的机器学习,实现告警阈值的全自动设置。
本技术领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本发明,而并非用作为对本发明的限定,只要在本发明的实质精神范围内,对以上所述实施例的变化、变型都将落在本发明的权利要求书范围内。